6. Обеспечение защиты информации при выводе из эксплуатации

аттестованной информационной системы или после принятия решения

об окончании обработки информации.

Обеспечение защиты информации при выводе из эксплуатации

аттестованной информационной системы или после принятия решения об

окончании обработки информации осуществляется обладателем защищаемой

информации в соответствии с эксплуатационной документацией на систему

защиты информации информационной системы и организационно-

распорядительными документами по защите информации и в том числе

включает:

Архивирование информации, содержащейся в информационной

системе.

Уничтожение (стирание) данных и остаточной информации с

машинных носителей информации и (или) уничтожение машинных носителей

информации.

Архивирование информации, содержащейся в информационной

системе, должно осуществляться при необходимости дальнейшего

использования информации в деятельности обладателя защищаемой

информации.

Уничтожение (стирание) данных и остаточной информации с

машинных носителей информации производится при необходимости

передачи машинного носителя информации другому пользователю

информационной системы или в сторонние организации для ремонта,

технического обслуживания или дальнейшего уничтожения.

При выводе из эксплуатации машинных носителей информации, на

которых осуществлялись хранение и обработка информации, осуществляется

физическое уничтожение этих машинных носителей информации.

Лабораторная работа №2 Изучение методов комплексного исследование объекта информатизации

Известно, что при создании любой информационной системы (ИС) на

базе современных компьютерных технологий неизбежно возникает вопрос о

защищенности этой системы от угроз безопасности информации и принятия

решения по устранению этих угроз. Однако для определения, как и от кого

защищать информацию, необходимо уяснить реальное положение в области

обеспечения безопасности информации и оценить степень защищенности

ИС.

Для решения данной задачи проводится комплексное обследование

защищенности ОИ, результаты которого основываются на выявленных

угрозах безопасности информации и оценке рисков нанесения возможного

ущерба, а также позволяют оценить необходимость и достаточность

принятых на объекте мер обеспечения безопасности информации.

Предполагается, что по результатам комплексного обследования ОИ

определяются адекватные потребностям ИС (по степени защищенности ее

ресурсов) требования к средствам ее защиты, что позволяет добиться

максимальной отдачи от инвестиций в создание и обслуживание системы

обеспечения информационной безопасности (СОИБ) ИС.

Если посмотреть на общую существующую классификацию видов

обследования ИБ (обследования защищенности), то можно выделить три

вида обследования защищенности:

инструментальное (дискретное и непрерывное);

обследование защищенности ОИ на соответствие существующим

стандартам и методикам;

обследование защищенности как части специализированных

исследований ОИ.

Перечень рассмотренных стандартов и методик, описывающих

процессы обследования защищенности ОИ, представлены в стандартах

ISO/IEC 15408, ISO/IEC 17799, ISO/IEC 27001:2005 и ISO/IEC 17799:2005 а

также руководящих документах ФСТЭК. Предполагается, что в результате

комплексного обследования защищенности ОИ происходит выделение

актуальных угроз безопасности информации и определение перечня

контрмер – эффективных методов противодействия значимым угрозам.

Однако проведенная оценка показывает, что четкое следование

существующим стандартам и методам и, как следствие, объективность и

полнота выдаваемых экспертных оценок в ходе проведения обследования

защищенности во многом зависит от квалификации эксперта, проводящего

обследование защищенности.

Таким образом, ставится актуальная в настоящее время задача по

разработке механизма (и методики) обследования защищенности ОИ,

способного выдавать обоснованные количественные оценки эффективности

принятых мер противодействия, обоснованного количественного расчета

деструктивных воздействий, проведения оценки угроз ОИ. Результатом

применения разрабатываемого механизма должно стать снижение

субъективности конечных оценок состояния защищенности ОИ и

возможность обоснованной оценки эффективности принятых мер

парирования угроз на ОИ.

Объект информатизации - совокупность информационных ресурсов,

средств и систем обработки информации, используемых в соответствии с

заданной информационной технологией, средств обеспечения объекта

информатизации, помещений или объектов (зданий, сооружений,

технических средств), в которых они установлены, или помещения и

объекты, предназначенные для ведения конфиденциальных переговоров.

Аттестация объектов информатизации (далее аттестация) -

комплекс организационно-технических мероприятий, в результате которых

посредством специального документа - "Аттестата соответствия"

подтверждается, что объект соответствует требованиям стандартов или иных

нормативно-технических документов по безопасности информации,

утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата

соответствия в организации дает право обработки информации с уровнем

секретности (конфиденциальности) на период времени, установленный в

аттестате.

Аттестация производится в порядке, установленном "Положением по

аттестации объектов информатизации по требованиям безопасности

информации" от 25 ноября 1994 года. Аттестация должна проводится до

начала обработки информации, подлежащей защите. Это необходимо в целях

официального подтверждения эффективности используемых мер и средств

по защите этой информации на конкретном объекте информатизации.

Аттестация является обязательной в следующих случаях:

государственная тайна;

при защите государственного информационного ресурса;

управление экологически опасными объектами;

ведение секретных переговоров.

Во всех остальных случаях аттестация носит добровольный характер,

то есть может осуществляться по желанию заказчика или владельца объекта

информатизации.

Аттестация предполагает комплексную проверку (аттестационные

испытания) объекта информатизации в реальных условиях эксплуатации.

Целью является проверка соответствия применяемых средств и мер защиты

требуемому уровню безопасности. К проверяемым требованиям относится:

защита от НСД, в том числе компьютерных вирусов;

защита от утечки через ПЭМИН;

защита от утечки или воздействия информацию за счет специальных устройств, встроенных в объект информатизации.

Аттестация проводится органом по аттестации в соответствии со схемой ,

выбираемой этим органом, и состоит из следующего перечня работ:

анализ исходных данных по аттестуемому объекту информатизации;

предварительное ознакомление с аттестуемым объектом информатизации;

проведение экспертного обследования объекта информатизации и

анализ разработанной документации по защите информации на этом объекте

точки зрения ее соответствия требованиям нормативной и методической

документации;

проведение испытаний отдельных средств и систем защиты

информации на аттестуемом объекте информатизации с помощью

специальной контрольной аппаратуры и тестовых средств;

проведение испытаний отдельных средств и систем защиты

информации в испытательных центрах (лабораториях) по сертификации

средств защиты информации по требованиям безопасности информации;

проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;

анализ результатов экспертного обследования и комплексных

аттестационных испытаний объекта информатизации и утверждение

заключения по результатам аттестации.

В структуру системы аттестации входят:

федеральный орган по сертификации средств защиты информации

аттестации объектов информатизации по требованиям безопасности

информации – ФСТЭК России;

органы по аттестации объектов информатизации по требованиям безопасности информации;

испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;

заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации.

В качестве органов по аттестации могут выступать отраслевые и

региональные учреждения, предприятия и организации по защите

информации, специальные центры ФСТЭК России, которые прошли

соответствующую аккредитацию.

Органы по аттестации:

аттестуют объекты информатизации и выдают "Аттестаты

соответствия";

осуществляют контроль за безопасностью информации,

циркулирующей на аттестованных объектах информатизации, и за их

эксплуатацией;

отменяют и приостанавливают действие выданных этим органом

"Аттестатов соответствия";

формируют фонд нормативной и методической документации,

необходимой для аттестации конкретных типов объектов информатизации,

участвуют в их разработке;

ведут информационную базу аттестованных этим органом объектов информатизации;

осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации.

ФСТЭК осуществляет следующие функции в рамках системы аттестации:

организует обязательную аттестацию объектов информатизации;

создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;

устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;

организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;

аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;

осуществляет государственный контроль и надзор за соблюдением

правил аттестации и эксплуатацией аттестованных объектов

информатизации;

рассматривает апелляции, возникающие в процессе аттестации

объектов информатизации, и контроля за эксплуатацией аттестованных

объектов информатизации;

организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.

Заявители:

проводят подготовку объекта информатизации для аттестации

путем реализации необходимых организационно-технических мероприятий

по защите информации;

привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;

предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;

привлекают, в необходимых случаях, для проведения испытаний

несеpтифициpованных средств защиты информации, используемых на

аттестуемом объекте информатизации, испытательные центры (лаборатории)

по сертификации;

осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия ";

извещают орган по аттестации, выдавший "Аттестат соответствия",

всех изменениях в информационных технологиях, составе и размещении

средств и систем информатики, условиях их эксплуатации, которые могут

повлиять на эффективность мер и средств защиты информации (перечень

характеристик, определяющих безопасность информации, об изменениях

которых требуется обязательно извещать орган по аттестации, приводится в

"Аттестате соответствия");

предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации , прошедшего обязательную аттестацию.

Для проведения испытаний заявитель предоставляет органу по аттестации

следующие документы и данные:

приемо-сдаточную документацию на объект информатизации;

акты категорирования выделенных помещений и объектов информатизации;

инструкции по эксплуатации средств защиты информации;

технический паспорт на аттестуемый объект;

документы на эксплуатацию (сертификаты соответствия требованиям

безопасности информации) ТСОИ;

сертификаты соответствия требованиям безопасности информации на ВТСС;

сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;

акты на проведенные скрытые работы;

протоколы измерения звукоизоляции выделенных помещений и

эффективности экранирования сооружений и кабин (если они проводились);

протоколы измерения величины сопротивления заземления;

протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;

данные по уровню подготовки кадров, обеспечивающих защиту информации ;

данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;

нормативную и методическую документацию по защите информации и контролю эффективности защиты.

Приведенный общий объем исходных данных и документации может

уточняться заявителем в зависимости от особенностей аттестуемого объекта

информатизации по согласованию с аттестационной комиссией.

пояснительную записку, содержащую информационную

характеристику и организационную структуру объекта защиты, сведения об

организационных и технических мероприятиях по защите информации от

утечки по техническим каналам;

перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;

перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;

перечень устанавливаемых ТСОИ с указанием наличия сертификата

(предписания на эксплуатацию) и мест их установки;

перечень устанавливаемых ВТСС с указанием наличия сертификата

мест их установки;

перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;

cхему (в масштабе) с указанием плана здания, в котором

расположены защищаемые объекты, границы контролируемой зоны,

трансформаторной подстанции, заземляющего устройства, трасс прокладки

инженерных коммуникаций, линий электропитания, связи, пожарной и

охранной сигнализации, мест установки разделительных устройств и т.п.;

технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;

планы объектов информатизации с указанием мест установки

ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс

прокладки инженерных коммуникаций и посторонних проводников;

план-схему инженерных коммуникаций всего здания, включая систему вентиляции;

план-схему системы заземления объекта с указанием места расположения заземлителя;

план-схему системы электропитания здания с указанием места

расположения разделительного трансформатора (подстанции), всех щитов и

разводных коробок;

план-схему прокладки телефонных линий связи с указанием мест

расположения распределительных коробок и установки телефонных

аппаратов;

план-схему систем охранной и пожарной сигнализации с указанием

мест установки и типов датчиков, а также распределительных коробок;

схемы систем активной защиты (если они предусмотрены). Порядок

проведения аттестации объектов информатизации по

требованиям безопасности информации включает следующие действия:

подача и рассмотрение заявки на аттестацию. Заявка имеет

установленную форму, с которой можно ознакомиться в "Положении об

аттестации объектов информатизации по требованиям безопасности".

Заявитель направляет заявку в орган по аттестации, который в месячный срок

рассматривает заявку, выбирает схему аттестации и согласовывает ее с

заявителем.

предварительное ознакомление с аттестуемым объектом –

производится в случае недостаточности предоставленных заявителем данных

до начала аттестационных испытаний;

испытание в испытательных лабораториях несертифицированных

средств и систем защиты информации, используемых на аттестуемом

объекте.

разработка программы и методики аттестационных испытаний.

Этот шаг является результатом рассмотрения исходных данных и

предварительного ознакомления с аттестуемым объектом. Орган по

аттестации определяет перечень работ и их продолжительность, методику

испытаний, состав аттестационной комиссии, необходимость использования

контрольной аппаратуры и тестовых средств или участия испытательных

лабораторий. Программа аттестационных испытаний согласовывается с

заявителем.

заключение договоров на аттестацию. Результатом предыдущих

четырех этапов становится заключение договора между заявителем и

органом по аттестации, заключением договоров между органом по

аттестации и привлекаемыми экспертами и оформлением предписания

о допуске аттестационной комиссии к проведению аттестации.

проведение аттестационных испытаний объекта информатизации.

В ходе аттестационных испытаний выполняется следующее:

анализ организационной структуры объекта информатизации,

информационных потоков, состава и структуры комплекса технических

средств и программного обеспечения, системы защиты информации на

объекте, разработанной документации и ее соответствия требованиям

нормативной документации по защите информации;

определяется правильность категорирования объектов ЭВТ и

классификации АС (при аттестации автоматизированных систем), выбора и

применения сертифицированных и несеpтифициpованных средств и систем

защиты информации;

проводятся испытания несертифицированных средств и систем

защиты информации на аттестуемом объекте или анализ результатов их

испытаний в испытательных центрах (лабораториях) по сертификации;

проверяется уровень подготовки кадров и распределение

ответственности персонала за обеспечение выполнения требований по

безопасности информации;

проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки

фактического выполнения установленных требований на различных этапах

технологического процесса обработки защищаемой информации;

оформляются протоколы испытаний и заключение по результатам

аттестации с конкретными рекомендациями по устранению допущенных

нарушений, приведению системы защиты объекта информатизации в

соответствие с установленными требованиями и совершенствованию этой

системы, а также рекомендациями по контролю за функционированием

объекта информатизации.

К заключению прилагаются протоколы испытаний, подтверждающие

полученные при испытаниях результаты и обосновывающие приведенный в

заключении вывод.

Протокол аттестационных испытаний должен включать:

вид испытаний;

объект испытаний;

дату и время проведения испытаний;

место проведения испытаний;

перечень использованной в ходе испытаний аппаратуры

(наименование, тип, заводской номер, номер свидетельства о поверке и срок

его действия);

перечень нормативно-методических документов, в соответствии с которыми проводились испытания;

методику проведения испытания (краткое описание);

результаты измерений;

результаты расчетов;

выводы по результатам испытаний.

Протоколы испытаний подписываются экспертами – членами

аттестационной комиссии, проводившими испытания, с указанием

должности, фамилии и инициалов.

Заключение по результатам аттестации подписывается членами

аттестационной комиссии, утверждается руководителем органа аттестации и

представляется заявителю. Заключение и протоколы испытаний подлежат

утверждению органом по аттестации.

оформление, регистрация и выдача "Аттестата соответствия" (если заключение по результатам аттестации утверждено).

осуществление государственного контроля и надзора,

инспекционного контроля за проведением аттестации и эксплуатацией

аттестованных объектов информатизации;

рассмотрение апелляций. В случае, если заявитель не согласен с

отказом в выдаче "Аттестата соответствия", он может подать апелляцию в

вышестоящий орган по аттестации или в ФСТЭК. Апелляция

рассматривается в срок, не превышающий один месяц с привлечением

заинтересованных сторон.

Аттестат соответствия должен содержать:

регистрационный номер;

дату выдачи;

срок действия;

наименование, адрес и местоположение объекта информатизации;

категорию объекта информатизации;

класс защищенности автоматизированной системы; гриф секретности

(конфиденциальности) информации, обрабатываемой на объекте информатизации;

организационную структуру объекта информатизации и вывод об

уровне подготовки специалистов по защите информации;

номера и даты утверждения программы и методики, в соответствии

которыми проводились аттестационные испытания;

перечень руководящих документов, в соответствии с которыми проводилась аттестация;

номер и дата утверждения заключения по результатам аттестационных испытаний;

состав комплекса технических средств обработки информации

ограниченного доступа, перечень вспомогательных технических средств и

систем, перечень технических средств защиты информации, а также схемы

их размещения в помещениях и относительно границ контролируемой зоны,

перечень используемых программных средств;

организационные мероприятия, при проведении которых разрешается

обработка информации ограниченного доступа;

перечень действий, которые запрещаются при эксплуатации объекта

информатизации;

список лиц, на которых возлагается обеспечение требований по

защите информации и контроль за эффективностью реализованных мер и

средств защиты информации.

Аттестат соответствия подписывается руководителем аттестационной

комиссии и утверждается руководителем органа по аттестации.

Аттестат соответствия выдается на период, в течение которого

обеспечивается неизменность условий функционирования объекта

информатизации и технологии обработки защищаемой информации,

могущих повлиять на характеристики, определяющие безопасность

информации (состав и структура технических средств, условия размещения,

используемое программное обеспечение, режимы обработки информации,

средства и меры защиты), но не более чем на 3 года.